All’interno di un percorso di digital transformation, o nella creazione di un nuovo business, la corretta gestione delle identità degli utenti riveste un ruolo chiave per garantire la necessaria protezione dei dati e abilitare nuovi servizi. Per realizzare questi obiettivi sono ampiamente diffuse tecnologie di Identity & Access Management (IAM), a cui si stanno affiancando meccanismi di autenticazione che semplificano la user experience e aumentano la sicurezza delle credenziali.
Indice degli argomenti
Tecnologie di Identity & Access Management: le soluzioni
Le soluzioni di Identity & Access Management consentono la gestione centralizzata delle identità digitali attraverso l’automazione dei processi di creazione (provisioning), modifica e cancellazione (de-provisioning) degli account associati a ciascun utente nelle piattaforme applicative e dei ruoli ad essi assegnati.
Le componenti principali di una soluzione di IAM sono:
- un motore di automazione che sincronizza le informazioni riguardanti le identità a partire da fonti autoritative (elenco del personale, database degli utenti ecc.) in ciascuna piattaforma applicativa attraverso opportuni plugin;
- un sistema di gestione dei ruoli associati a ciascuna identità e di configurazione delle autorizzazioni nelle piattaforme applicative in base ai ruoli (RBAC, Role Based Access Control);
- un meccanismo di Single Sign-On (SSO) per il processo di autenticazione utente.
L’introduzione di un sistema di IAM apporta benefici immediati all’interno di un’organizzazione:
- la centralizzazione e semplificazione delle procedure di gestione degli account per le strutture organizzative di controllo e la corrispondente riduzione dei costi;
- l’applicazione dei principi di RBAC, conformi alle best practice della sicurezza informatica;
- la riduzione del numero di credenziali che ciascun utente deve ricordare per accedere ai sistemi, attraverso la sincronizzazione di username e password;
Scenario d’uso delle tecnologie di Identity & Access Management
Uno scenario tipico prevede l’impiego di un sistema basato su tecnologie di Identity & Access Management per la creazione, gestione e cancellazione automatica degli account all’interno delle directory aziendali (ad esempio il dominio AD e i database che alimentano le web-application), a partire dalle informazioni presenti nel sistema di gestione del personale.
In una soluzione di questo tipo, a ciascuna identità sono associati nello IAM uno o più ruoli che vengono sincronizzati con l’appartenenza a gruppi nelle directory aziendali. A ciascun gruppo sono associate le autorizzazioni applicative.
Si può immaginare, ad esempio, che lo spostamento di una risorsa in un nuovo ufficio corrisponda alla modifica dei ruoli assegnati nello IAM e automaticamente si rifletta nella modifica delle autorizzazioni all’accesso alle diverse applicazioni.
L’aspetto riguardante le procedure di autenticazione è quello che si riflette maggiormente sulla sicurezza dei sistemi e sulla user experience.
Un sistema di autenticazione deve garantire l’identificazione dell’utente che accede a ciascuna risorsa, proteggendo le credenziali utilizzate.
Centralizzare questo processo con il Single Sign-On, consente di implementare in un unico punto le misure di sicurezza a protezione delle credenziali (cifratura del canale, prevenzione degli attacchi a forza bruta, registrazione degli accessi e delle autorizzazioni concesse) e contemporaneamente ridurre il numero di autenticazioni richieste all’utente quando passa da un’applicazione all’altra.
Nuovi protocolli di autenticazione: la Modern Authentication
Negli ultimi anni, accanto ai protocolli tradizionali come Kerberos, si sono diffusi protocolli di autenticazione pensati per le applicazioni web e mobile come SAML (Securit Assertion Markup Language) e OAuth/OpenID.
Questi protocolli separano logicamente il sistema gestore delle identità (Identity Provider, IdP) dal sistema che eroga il servizio (Service Provider, SP) e impiegano token web cifrati per lo scambio d’informazioni sull’identità dell’utente.
È possibile così concentrare le operazioni di autenticazione sull’IdP, eliminando i rischi connessi al transito delle credenziali sui sistemi applicativi e consentendo il Single Sing-On per applicazioni web e mobile, anche fornite da soggetti esterni all’organizzazione.
L’impiego di queste tecnologie in un ecosistema che può estendersi oltre i limiti delle applicazioni gestite all’interno dell’organizzazione, pensiamo ad esempio ai servizi SaaS erogati dai fornitori cloud, prende il nome di Modern Authentication.
Le principali piattaforme (Microsoft, Google, Facebook, LinkedIn e recentemente Apple) hanno adottato questo schema e consentono di collegare le applicazioni di terze parti ai propri sistemi di IAM.
I principali benefici della Modern Authentication sono:
- semplificazione dell’esperienza utente, che interagisce con un singolo IdP per tutte le autenticazioni;
- maggiore protezione delle credenziali e riduzione dei rischi associati alla loro condivisione con sistemi terzi;
- semplificazione del processo di on-boarding e gestione delle identità nelle applicazioni.
Questo ultimo tema è particolarmente rilevante nei progetti di digital transformation: l’impiego di IAM e Modern Authentication rimuove la necessità di sviluppare interfacce amministrative per le utenze nelle nuove applicazioni e riduce l’impatto sull’utente dell’attivazione di nuove applicazioni digitali, facilitando così la transizione.
I protocolli SAML e OAuth/OpenID consentono, inoltre, di realizzare la federazione di Identity Provider esterni, abilitando l’impiego di credenziali digitali gestite da terze parti. Si pensi ad esempio a SPID, il Sistema Pubblico di Identità Digitale, attraverso il quale i cittadini italiani titolari di una identità digitale emessa da uno dei soggetti autorizzati, possono accedere ai siti della PA e dei fornitori di servizi collegati.
IAM, Modern Authentication e SPID: centralizzare le credenziali
Implementando IAM e Modern Authentication è possibile federare l’IdP con SPID ed estendere l’uso di queste identità digitali a tutte le applicazioni collegate al proprio IdP, con una considerevole riduzione dei costi di sviluppo e manutenzione.
La centralizzazione delle credenziali, oltre a introdurre sensibili benefici per l’utente che se ne vede ridurre il numero, comporta però un aumento del rischio collegato all’eventuale compromissione delle credenziali. Per mitigare questo rischio devono essere adottate opportune misure di protezione delle credenziali.
Oltre alle misure tradizionali (lunghezza minima, complessità della password, limitazione della validità nel tempo), sono ormai diffusi meccanismi di autenticazione a fattori multipli che aggiungono alla tradizionale coppia di informazioni (username e password) un codice temporaneo (One Time Password o OTP).
I codici OTP possono essere:
- generati periodicamente da token fisici o virtuali attraverso un’applicazione mobile, sincronizzati con un sistema di autenticazione centrale;
- generati su richiesta e inviati attraverso un canale alternativo (e-mail, SMS ecc.);
- generati su richiesta e inviati ad un’applicazione mobile a sua volta protetta dai meccanismi di autenticazione del dispositivo, spesso basati su fattori biometrici.
L’impiego di autenticazione a fattori multipli, insieme a Modern Authentication e Identity & Access Management consente di ridurre i costi di gestione, ridurre il tempo di sviluppo e adozione di nuovi servizi digitali, facilitare l’esperienza utente ed aumentare la sicurezza delle credenziali di accesso.
L’impiego di queste metodologie si rivela quindi uno strumento di grande importanza per i progetti di digital transformation e per l’implementazione delle corrette politiche di gestione dei dati personali, secondo i principi del GDPR.
